Squid + PAM-autentisering i CentOS 7- SMB-nettverk

Generell indeks for serien: Datanettverk for SMB: Introduksjon

Forfatter: Federico Antonio Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Hei venner og venner!

Tittelen på artikkelen burde ha vært: «MATE + NTP + Dnsmasq + Gateway Service + Apache + blekksprut med PAM-godkjenning i Centos 7 - SMB-nettverk«. Av korte årsaker forkorter vi det.

Vi fortsetter med autentisering til lokale brukere på en Linux-datamaskin ved hjelp av PAM, og denne gangen vil vi se hvordan vi kan tilby proxy-tjenesten med blekksprut for et lite nettverk av datamaskiner ved å bruke autentiseringslegitimasjonen som er lagret på samme datamaskin der serveren kjører Akkar.

Selv om vi vet at det er veldig vanlig praksis i dag, å autentisere tjenester mot en OpenLDAP, Red Hats Directory Server 389, Microsoft Active Directory, etc., anser vi at vi først må gå gjennom enkle og billige løsninger, og deretter møte de mest komplekse. Vi tror at vi må gå fra det enkle til det komplekse.

Scene

Det er en liten organisasjon - med svært få økonomiske ressurser - dedikert til å støtte bruken av fri programvare, og som valgte navnet på FromLinux.Fan. De er forskjellige OS-entusiaster CentOS gruppert på ett kontor. De kjøpte en arbeidsstasjon - ikke en profesjonell server - som de vil vie for å fungere som en "server".

Entusiaster har ikke omfattende kunnskap om hvordan man implementerer en OpenLDAP-server eller en Samba 4 AD-DC, og har heller ikke råd til å lisensiere en Microsoft Active Directory. For deres daglige arbeid trenger de imidlertid Internett-tilgangstjenester gjennom en proxy - for å få raskere surfing - og et sted der de kan lagre sine mest verdifulle dokumenter og jobbe som sikkerhetskopier.

De bruker fremdeles lovlig ervervede Microsoft-operativsystemer, men ønsker å endre dem til Linux-baserte operativsystemer, med utgangspunkt i deres "Server".

De ønsker også å ha sin egen e-postserver for å bli uavhengige - i det minste fra opprinnelsen - av tjenester som Gmail, Yahoo, HotMail, etc., som er det de bruker for øyeblikket.

Brannmur- og rutingsreglene mot Internett vil etablere det i den avtalte ADSL-ruteren.

De har ikke et ekte domenenavn, da de ikke trenger å publisere noen tjenester på Internett.

CentOS 7 som en server uten GUI

Vi starter fra en ny installasjon av en server uten et grafisk grensesnitt, og det eneste alternativet vi velger under prosessen er «Infrastruktur Server»Som vi så i tidligere artikler i serien.

Innledende innstillinger

[root @ linuxbox ~] # cat / etc / hostname 
Linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # vertsnavn
Linuxbox

[root @ linuxbox ~] # vertsnavn -f
linuxbox.desdelinux.fan

[root @ linuxbox ~] # ip addr-liste
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 det

Vi deaktiverer nettverksadministratoren

[root @ linuxbox ~] # systemctl stopp NetworkManager

[root @ linuxbox ~] # systemctl deaktiver NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager lastet: lastet (/usr/lib/systemd/system/NetworkManager.service; deaktivert; leverandør forhåndsinnstilling: aktivert) Aktiv: inaktiv (død) Dokumenter: mann: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Vi konfigurerer nettverksgrensesnittene

Ens32 LAN-grensesnitt koblet til det interne nettverket

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
SONE = offentlig

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-grensesnitt koblet til Internett

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=ja BOOTPROTO=statisk HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-ruteren er koblet til # denne adressen til dette grensesnittet IP GATEWAY=172.16.10.1 DOMENE=desdelinux.fan DNS1=127.0.0.1
SONE = ekstern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Oppbevaring av arkiver

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # original mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum rens alt
Plugins lastet inn: raskeste speil, langpacks Rengjøring repositories: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Rydde opp i alt Rydde opp listen over raskeste speil

[root @ linuxbox yum.repos.d] # yum oppdatering
Lastede plugins: raskeste speil, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Oppdateringer-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primær_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primær_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primær_db | 4.5 MB 00:01 (9/9): Base-Repo / primær_db | 5.6 MB 00:01 Bestemme raskeste speil Ingen pakker merket for oppdatering

Meldingen "Ingen pakker merket for oppdatering»Vises fordi vi under installasjonen erklærte de samme lokale arkivene som vi har til rådighet.

Centos 7 med MATE-skrivebordsmiljøet

For å bruke de veldig gode administrasjonsverktøyene med et grafisk grensesnitt som CentOS / Red Hat gir, og fordi vi alltid savner GNOME2, bestemte vi oss for å installere MATE som et skrivebordsmiljø.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

For å verifisere at MATE lastes riktig, utfører vi følgende kommando i en konsoll -lokal eller fjernkontroll-:

[root @ linuxbox ~] # systemctl isolate graphical.target

og skrivebordsmiljøet skal lastes inn -på lokallaget- jevnt, viser lightdm som en grafisk pålogging. Vi skriver inn navnet på den lokale brukeren og passordet, og vi skriver inn MATE.

Å fortelle det systemd at standard oppstartsnivå er 5-grafisk miljø - vi lager følgende symbolske lenke:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Vi starter systemet på nytt, og alt fungerer bra.

Vi installerer Time Service for Networks

[root @ linuxbox ~] # yum install ntp

Under installasjonen konfigurerer vi at den lokale klokken blir synkronisert med utstyrets tidsserver sysadmin.desdelinux.fan med IP 192.168.10.1. Så vi lagrer filen ntp.conf original av:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nå oppretter vi en ny med følgende innhold:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servere konfigurert under installasjon: server 192.168.10.1 iburst # For mer informasjon, se mansidene til: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfil / var / lib / ntp / drift # Tillat synkronisering med tidskilden, men ikke # la kilden konsultere eller endre denne tjenesten begrense standard nomodify notrap nopeer noquery # Tillat all tilgang til grensesnittet Loopback-begrensning 127.0.0.1 begrense :: 1 # Begrens litt mindre til datamaskiner på det lokale nettverket. begrense 192.168.10.0 maske 255.255.255.0 nomodify notrap # Bruk prosjektets offentlige servere pool.ntp.org # Hvis du vil være med i prosjektet, besøk # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # kringkastingsserver kringkasting # kringkastingsklient # kringkasting 224.0.1.1 autokey # multicast-server # multicastclient 224.0.1.1 # multicast-klient # mange servers 239.255.254.254 # manycast-server # mangcastclient 239.255.254.254 autokey # manycast klient kringkasting 192.168.10.255. 4 # Aktiver offentlig kryptografi. #crypto includeefile / etc / ntp / crypto / pw # Nøkkelfil som inneholder nøklene og nøkkelidentifikatorene # som brukes når du bruker symmetriske nøkkelkryptografitaster / etc / ntp / keys # Angi pålitelige nøkkelidentifikatorer. #trustedkey 8 42 8 # Spesifiser nøkkelidentifikatoren som skal brukes med ntpdc-verktøyet. #requestkey 8 # Spesifiser nøkkelidentifikatoren som skal brukes med ntpq-verktøyet. #controlkey 2013 # Aktiver skriving av statistikkregistre. #statistikk klokkestater kryptostater loopstats peerstats # Deaktiver løsrivelsesmonitoren for å forhindre forsterkning av # angrep ved hjelp av kommandoen ntpdc monlist, når standard # -begrensningen ikke inkluderer noquery-flagget. Les CVE-5211-XNUMX # for mer informasjon. # Merk: Skjermen er ikke deaktivert med det begrensede begrensningsflagget. deaktiver skjermen

Vi aktiverer, starter og sjekker NTP-tjenesten

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Nettverkstids tjeneste lastet: lastet (/usr/lib/systemd/system/ntpd.service; deaktivert; leverandør forhåndsinnstilling: deaktivert) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiver ntpd
Opprettet symlink fra /etc/systemd/system/multi-user.target.wants/ntpd.service til /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Tid for nettverk
   Lastet: lastet (/usr/lib/systemd/system/ntpd.service; aktivert; leverandør forhåndsinnstilling: deaktivert) Aktiv: aktiv (kjører) siden fre 2017-04-14 15:51:08 EDT; For 1s siden Prosess: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Hoved-PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp og brannmuren

[root @ linuxbox ~] # firewall-cmd - get-active-zones
utvendig
  grensesnitt: ens34
offentlig
  grensesnitt: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
suksess
[root @ linuxbox ~] # firewall-cmd --reload
suksess

Vi aktiverer og konfigurerer Dnsmasq

Som vi så i forrige artikkel i Small Business Networks-serien, er Dnsamasq installert som standard på en CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-caching-server. Lastet: lastet (/usr/lib/systemd/system/dnsmasq.service; deaktivert; leverandørinnstilling: deaktivert) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiver dnsmasq
Opprettet symlink fra /etc/systemd/system/multi-user.target.wants/dnsmasq.service til /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-caching-server. Lastet: lastet (/usr/lib/systemd/system/dnsmasq.service; aktivert; leverandørinnstilling: deaktivert) Aktiv: aktiv (kjører) siden fre 2017-04-14 16:21:18 EDT; 4s siden Main PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service 33611─XNUMX / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------- ------------------ # GENERELLE VALG # ------------------------------------ -------------------------------------- domene-nødvendig # Ikke send navn uten domenet del bogus-priv # Ikke send adresser i ikke-rutet plass expand-hosts # Legger automatisk til domenet til vertsgrensesnittet=ens32 # LAN-grensesnitt strict-order # Rekkefølgen som /etc/resolv.conf-filen spørres i conf- dir=/etc /dnsmasq.d domene=desdelinux.fan # Domenenavn adresse=/time.windows.com/192.168.10.5 # Sender et tomt alternativ for WPAD-verdien. Nødvendig for at # Windows 7 og nyere klienter skal oppføre seg riktig. ;-) dhcp-option=252,"\n" # Fil der vi vil erklære VERTENE som vil bli "forbudt" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTX # -------------------------- ------------------------------------------ # Denne typen post krever en oppføring # i /etc/hosts-filen # eks: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan, linuxbox.desdelinux.fan # MX RECORDS # Returnerer en MX-post med navnet "desdelinux.fan" bestemt # til e-postteamet.desdelinux.fan og prioritet på 10 mx-host=desdelinux.fan,post.desdelinux.fan,10 # Standarddestinasjonen for MX-poster opprettet # ved bruk av localmx-alternativet vil være: mx-target=mail.desdelinux.fan # Returnerer en MX-post som peker til mx-target for ALLE # lokale maskiner localmx # TXT-poster. Vi kan også erklære en SPF-post txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fan,"FromLinux, bloggen din dedikert til fri programvare" # ------------------------------------ ------------------------------- # OMRÅDE OG UTVALG # ---------------- -------------------------------------------------- - # IPv4-område og leietid # 1 til 29 er for servere og andre behov dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Maksimalt antall adresser som skal leies # som standard er de 150 # IPV6 Range # dhcp-range=1234::, ra-only # Alternativer for RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY .6,192.168.10.5c GATEWAY s dhcp-option=15,desdelinux.fan # DNS-domenenavn dhcp-option=19,1 # alternativ ip-videresending PÅ dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-autoritativ # -- DHCP-autoritativt # -- DHCP-autoritativ ------------------------------------------------------- --- ----------- # Hvis du vil lagre søket, logg inn /var/log/messages # fjernkommentar linjen under # ---------- ------- ------------------------------------------ -------
# log-spørringer
# END of file /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Vi oppretter filen / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 last ned.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Faste IP-adresser

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Vi konfigurerer filen /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
Søk desdelinux.fan navneserver 127.0.0.1 # For eksterne eller # ikke-domene DNS-spørringer desdelinux.fan # local=/desdelinux.fan/ navneserver 8.8.8.8

Vi sjekker filsyntaks dnsmasq.confstarter vi og sjekker statusen til tjenesten

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: syntaks sjekk OK.
[root @ linuxbox ~] # systemctl start dnsmasq på nytt
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq og brannmuren

[root @ linuxbox ~] # firewall-cmd - get-active-zones
utvendig
  grensesnitt: ens34
offentlig
  grensesnitt: ens32

tjeneste domene o Domenenavnserver (dns). Protokoll sveiper «IP med kryptering«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
suksess
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
suksess

Dnsmasq-spørsmål til eksterne DNS-servere

[root @ linuxbox ~] # brannmur-cmd --zone = ekstern --add-port = 53 / tcp - permanent
suksess
[root @ linuxbox ~] # brannmur-cmd --zone = ekstern --add-port = 53 / udp - permanent
suksess

tjeneste oppstart o BOOTP-server (dhcp). Protokoll IPPC «Internett Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
suksess
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
suksess

[root @ linuxbox ~] # firewall-cmd --reload
suksess

[root @ linuxbox ~] # brannmur-cmd - informasjonssone offentlig (aktiv)
  mål: standard icmp-block-inversjon: ingen grensesnitt: ens32 kilder: tjenester: dhcp dns ntp ssh porter: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoller: maskerade: ingen frem-porter: sourceporter: icmp -blokker: rike regler:

[root @ linuxbox ~] # firewall-cmd - ekstern ekstern info-sone (aktiv)
  mål: standard icmp-blokk-inversjon: ingen grensesnitt: ens34 kilder: tjenester: dns-porter: 53 / udp 53 / tcp-protokoller: maskerade: ja frem-porter: kildeporter: icmp-blokker: parameter-problem omdirigerer router-annonse router- kildeslukingsrike regler for anmodning:

Hvis vi vil bruke et grafisk grensesnitt for å konfigurere brannmuren i CentOS 7, ser vi i den generelle menyen - det vil avhenge av skrivebordsmiljøet i hvilken undermeny den vises - applikasjonen «Brannmur», vi utfører den og etter å ha tastet inn brukerens passord root, får vi tilgang til programgrensesnittet som sådan. I MATE vises det i menyen «System »->" Administrasjon "->" Brannmur ".

Vi velger området «offentlig»Og vi autoriserer tjenestene vi ønsker å bli publisert på LAN, som til nå er dhcp, dns, ntp og ssh. Etter å ha valgt tjenestene, verifisert at alt fungerer som det skal, må vi gjøre endringene i Runtime to Permanent. For å gjøre dette går vi til Alternativer-menyen og velger alternativet «Kjør tid til permanent".

Senere velger vi området «utvendig»Og vi sjekker at portene som er nødvendige for å kommunisere med Internett er åpne. IKKE publiser tjenester i denne sonen med mindre vi vet veldig godt hva vi gjør!.

La oss ikke glemme å gjøre endringene permanente gjennom alternativet «Kjør tid til permanent»Og last demonen på nytt FirewallD, hver gang vi bruker dette kraftige grafiske verktøyet.

NTP og Dnsmasq fra en Windows 7-klient

Synkronisering med NTP

utvendig

Leid IP-adresse

Microsoft Windows [Versjon 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheter forbeholdes. C: \ Brukere \ buzz> ipconfig / alt Windows IP-konfigurasjonsvertsnavn. . . . . . . . . . . . : SYV
   Primært Dns-suffiks. . . . . . . :
   NodeType. . . . . . . . . . . . : Hybrid IP-ruting aktivert. . . . . . . . : Ingen WINS Proxy aktivert. . . . . . . . : Ingen DNS-suffikssøkeliste. . . . . . : desdelinux.fan Ethernet-adapter Local Area Connection: Tilkoblingsspesifikt DNS-suffiks . : desdelinux.fan Beskrivelse . . . . . . . . . . . : Intel(R) PRO/1000 MT nettverkstilkobling fysisk adresse. . . . . . . . . : 00-0C-29-D6-14-36 DHCP aktivert. . . . . . . . . . . : Ja Autokonfigurasjon aktivert. . . . : Gafler
   IPv4-adresse. . . . . . . . . . . : 192.168.10.115 (Foretrukket)
   Nettverksmaske . . . . . . . . . . . : 255.255.255.0 Leie Oppnådd. . . . . . . . . . : fredag 14. april 2017 5:12:53 Leieavtalen utløper . . . . . . . . . . : Lørdag 15. april 2017 1:12:53 AM Standard gateway . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 DNS-servere. . . . . . . . . . . : 192.168.10.5 NetBIOS over Tcpip. . . . . . . . : Aktivert tunneladapter Local Area Connection* 9: Medietilstand . . . . . . . . . . . : Media frakoblet Tilkoblingsspesifikt DNS-suffiks . : Beskrivelse . . . . . . . . . . . : Fysisk adresse for Microsoft Teredo Tunneling Adapter. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktivert. . . . . . . . . . . : Ingen autokonfigurasjon aktivert. . . . : Ja Tunneladapter isatap.desdelinux.fan: Media State. . . . . . . . . . . : Media frakoblet Tilkoblingsspesifikt DNS-suffiks . : desdelinux.fan Beskrivelse . . . . . . . . . . . : Microsoft ISATAP Adapter #2 fysisk adresse. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktivert. . . . . . . . . . . : Ingen autokonfigurasjon aktivert. . . . : Ja C:\Users\buzz>

Tips

En viktig verdi i Windows-klienter er "Primary Dns Suffix" eller "Main connection suffix". Når en Microsoft Domain Controller ikke brukes, tildeler ikke operativsystemet noen verdi til den. Hvis vi står overfor en sak som den som ble beskrevet i begynnelsen av artikkelen, og vi eksplisitt vil erklære den verdien, må vi fortsette i henhold til det som vises i det følgende bildet, godta endringene og starte klienten på nytt.

Hvis vi løper igjen CMD -> ipconfig / all vi vil oppnå følgende:

Microsoft Windows [Versjon 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheter forbeholdes. C: \ Brukere \ buzz> ipconfig / alt Windows IP-konfigurasjonsvertsnavn. . . . . . . . . . . . : SYV
   Primært Dns-suffiks. . . . . . . : desdelinux.fan
   NodeType. . . . . . . . . . . . : Hybrid IP-ruting aktivert. . . . . . . . : Ingen WINS Proxy aktivert. . . . . . . . : Ingen DNS-suffikssøkeliste. . . . . . : desdelinux.fan

Resten av verdiene forblir uendret

DNS-sjekker

buzz @ sysadmin: ~ $ vert spynet.microsoft.com
spynet.microsoft.com har adresse 127.0.0.1 Vert spynet.microsoft.com ikke funnet: 5(NEVERT) spynet.microsoft.com post håndteres av 1 post.desdelinux.fan.

buzz @ sysadmin: ~ $ vert linuxbox
linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fanpost håndteres av 1 post.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan har adresse 192.168.10.1 sysadmin.desdelinux.fanpost håndteres av 1 post.desdelinux.fan.

buzz @ sysadmin: ~ $ vertsmail
post.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fanpost håndteres av 1 post.desdelinux.fan.

Vi installerer -kun for testing- en autoritativ DNS-server NSD i sysadmin.desdelinux.fan, og vi inkluderer IP-adressen 172.16.10.1 i arkivet / Etc / resolv.conf av laget linuxbox.desdelinux.fan, for å bekrefte at Dnsmasq utførte sin videresendingsfunksjon riktig. Sandkasser på NSD-serveren er favt.org y toujague.org. Alle IP-er er fiktive eller fra private nettverk.

Hvis vi deaktiverer WAN-grensesnittet ens34 ved hjelp av kommandoen ifdown ens34, Dnsmasq vil ikke kunne spørre eksterne DNS-servere.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Vert toujague.org ikke funnet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vert pizzapie.favt.org
Vert pizzapie.favt.org ikke funnet: 3 (NXDOMAIN)

La oss aktivere ens34-grensesnittet og sjekke igjen:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ vert pizzapie.favt.org
pizzapie.favt.org er et alias for paisano.favt.org. paisano.favt.org har adresse 172.16.10.4

[buzz @ linuxbox ~] $ vert pizzapie.toujague.org
Vert pizzas.toujague.org ikke funnet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vert poblacion.toujague.org
poblacion.toujague.org har adresse 169.18.10.18

[buzz @ linuxbox ~] $ vert -t NS favt.org
favt.org navneserver ns1.favt.org. favt.org navneserver ns2.favt.org.

[buzz @ linuxbox ~] $ vert -t NS toujague.org
toujague.org navneserver ns1.toujague.org. toujague.org navneserver ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org-post håndteres av 10 mail.toujague.org.

La oss konsultere fra sysadmin.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
Søk desdelinux.fan navneserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org har adresse 169.18.10.19

Dnsmasq fungerer som Transportør riktig.

Akkar

I boka i PDF-format «Linux-serverkonfigurasjon»Datert 25. juli 2016, av forfatteren Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), tekst som jeg har henvist til i tidligere artikler, er det et helt kapittel dedikert til Grunnleggende konfigurasjonsalternativer for blekksprut.

På grunn av viktigheten av Web - Proxy-tjenesten gjengir vi introduksjonen om blekkspruten i den nevnte boken:

105.1. Introduksjon.

105.1.1. Hva er en mellommannsserver (proxy)?

Begrepet på engelsk "Proxy" har en veldig generell og samtidig tvetydig betydning, skjønt
regnes alltid som et synonym for begrepet "Mellommann". Det blir vanligvis oversatt, i streng forstand, som delegat o advokat (den som har makt over en annen).

Un Mellommannsserver Det er definert som en datamaskin eller enhet som tilbyr en nettverkstjeneste som består i å la klienter lage indirekte nettverkstilkoblinger til andre nettverkstjenester. Under prosessen skjer følgende:

Kunden kobler seg til en Proxy-server.
Klienten ber om en tilkobling, fil eller annen ressurs som er tilgjengelig på en annen server.
Intermediary Server gir ressursen enten ved å koble til den angitte serveren
eller serverer det fra en hurtigbuffer.
I noen tilfeller Mellommannsserver kan endre klientens forespørsel eller
serverrespons for forskjellige formål.

den Proxy-servere de er vanligvis laget til å fungere samtidig som en brannvegg som opererer i Nettverksnivå, fungerer som et pakkefilter, som i tilfelle iptables eller opererer i Søknadsnivå, kontrollere forskjellige tjenester, som det er tilfellet med TCP-innpakning. Avhengig av sammenheng er brannmuren også kjent som BPD-utvidelse o Brekkefølge Protasjon Device eller bare pakkefilter.

En vanlig anvendelse av Proxy-servere er å fungere som en cache med nettverksinnhold (hovedsakelig HTTP), og gir i nærheten av klientene en cache med sider og filer som er tilgjengelige gjennom nettverket på eksterne HTTP-servere, slik at klienter i det lokale nettverket får tilgang til dem i en raskere og mer pålitelig.

Når en forespørsel mottas for en spesifisert nettverksressurs i en URL (Uuniform Rressurs Locator) Mellommannsserver se etter resultatet av URL inne i hurtigbufferen. Hvis det blir funnet, Mellommannsserver Reagerer på kunden ved å umiddelbart levere det etterspurte innholdet. Hvis det forespurte innholdet ikke er i hurtigbufferen, blir Mellommannsserver den vil hente den fra en ekstern server, levere den til klienten som ba om det og holde en kopi i hurtigbufferen. Innholdet i hurtigbufferen fjernes deretter gjennom en utløpsalgoritme i henhold til alder, størrelse og historie til svar på forespørsler (treff) (eksempler: LRU, LFUDA y GDSF).

Proxy-servere for nettverksinnhold (Web Proxies) kan også fungere som filtre for innholdet som serveres, og anvende sensurpolitikk i henhold til vilkårlige kriterier..

Squid-versjonen som vi skal installere er 3.5.20-2.el7_3.2 fra depotet oppdateringer.

Installasjon

[root @ linuxbox ~] # yum installer blekksprut

[root @ linuxbox ~] # ls / etc / blekksprut /
cachemgr.conf errorpage.css.default  blekksprut.konf
cachemgr.conf.default mime.conf              blekksprut.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl aktiverer blekksprut

Viktig

Hovedmålet med denne artikkelen er å autorisere lokale brukere å koble seg til blekksprut fra andre datamaskiner som er koblet til LAN. I tillegg implementerer du kjernen til en server som andre tjenester vil bli lagt til. Det er ikke en artikkel dedikert til blekkspruten som sådan.
For å få en ide om Squids konfigurasjonsalternativer, kan du lese /usr/share/doc/squid-3.5.20/squid.conf.documented filen, som har 7915 linjer.

SELinux og blekksprut

[root @ linuxbox ~] # getsebool -a | grep blekksprut
squid_connect_any -> på squid_use_tproxy -> av

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

Konfigurasjon

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # uregistrerte porter acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT-metoden CONNECT # Vi nekter spørsmål for usikre porter http_access nekt! Safe_ports # Vi nekter CONNECT-metoden for usikre porter http_access nekt CONNECT! SSL_ports # Tilgang Cache-manager bare fra localhost http_access tillat localhost manager http_access nekt manager # Vi anbefaler på det sterkeste at følgende ikke er kommentert for å beskytte uskyldige # webapplikasjoner som kjører på proxy-serveren, som tror den eneste # som kan få tilgang til tjenester på "localhost" er en lokal bruker http_access nekt til_localhost # # INSERT DIN EGNE REGEL (ER) HER FOR Å TILLATE TILGANG FRA DINE KLIENTER # # PAM-autorisasjon
auth_param grunnleggende program / usr / lib64 / blekksprut / basic_pam_auth
auth_param basic barn 5 auth_param basic realm desdelinux.fan auth_param basic credentialsttl 2 timer auth_param basic casesensitive off # Squid-tilgang krever autentisering acl Entusiaster proxy_auth KREVES # Vi tillater tilgang til autentiserte brukere # gjennom PAM http_access nekte !Entusiaster # Tilgang til FTP-prosessen http_local_process-nettsteder acl ftpaccess http_local tillat lokalhost # Vi nekter annen tilgang til http_access-proxyen nekter alle # Squid lytter normalt på port 3128 http_port 3128 # Vi lar "coredumps" ligge i den første cache-katalogen coredump_dir /var/spool/squid # # Legg til ditt eget refresh_pattern oppføringer over disse. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20 % 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low cazz_hiche_85wap_hichedesdelinux.fan # Andre parametere visible_hostname linuxbox.desdelinux.fan

Vi sjekker syntaksen til filen /etc/squid/squid.conf

[root @ linuxbox ~] # blekksprut -k analyse
2017/04/16 15:45:10| Oppstart: Initialiserer autentiseringsskjemaer ... 2017/04/16 15:45:10| Oppstart: Initialisert autentiseringsskjema 'grunnleggende' 2017/04/16 15:45:10| Oppstart: Initialisert autentiseringsskjema 'digest' 2017/04/16 15:45:10| Oppstart: Initialisert autentiseringsskjema 'negotiate' 2017/04/16 15:45:10| Oppstart: Initialisert autentiseringsskjema 'ntlm' 2017/04/16 15:45:10| Oppstart: Initialisert autentisering. 2017/04/16 15:45:10| Behandler konfigurasjonsfil: /etc/squid/squid.conf (dybde 0) 2017/04/16 15:45:10| Behandling: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Behandling: acl SSL_ports port 443 21 2017/04/16 15:45:10| Behandling: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Behandling: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Behandling: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Behandling: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Behandling: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Behandling: acl Safe_ports port 1025-65535 # uregistrerte porter 2017/04/16 15:45:10| Behandling: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Behandling: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Behandling: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Behandling: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Behandling: acl CONNECT-metode CONNECT 2017/04/16 15:45:10| Behandling: http_access deny !Safe_ports 2017/04/16 15:45:10| Behandling: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Behandling: http_access tillate localhost manager 2017/04/16 15:45:10| Behandling: http_access deny manager 2017/04/16 15:45:10| Behandling: http_access deny to_localhost 2017/04/16 15:45:10| Behandling: auth_param grunnleggende program /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Behandling: auth_param basic children 5 2017/04/16 15:45:10| Behandling: auth_param basic realm desdelinux.fan 2017/04/16 15:45:10| Behandling: auth_param basic credentialsttl 2 timer 2017/04/16 15:45:10| Behandling: auth_param basic casesensitive off 2017/04/16 15:45:10| Behandling: acl Entusiaster proxy_auth KREVES 2017/04/16 15:45:10| Behandling: http_access nekte !Entusiaster 2017/04/16 15:45:10| Behandling: acl ftp proto FTP 2017/04/16 15:45:10| Behandling: http_access tillate ftp 2017/04/16 15:45:10| Behandling: http_access tillate localnet 2017/04/16 15:45:10| Behandling: http_access tillate localhost 2017/04/16 15:45:10| Behandling: http_access nekte alle 2017/04/16 15:45:10| Behandling: http_port 3128 2017/04/16 15:45:10| Behandling: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Behandling: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Behandling: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Behandling: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Behandler: refresh_pattern . 0 20 % 4320 2017/04/16 15:45:10| Behandling: cache_mem 64 MB 2017/04/16 15:45:10| Behandling: memory_replacement_policy lru 2017/04/16 15:45:10| Behandling: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Behandling: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Behandling: maximum_object_size 4 MB 2017/04/16 15:45:10| Behandling: cache_swap_low 85 2017/04/16 15:45:10| Behandling: cache_swap_high 90 2017/04/16 15:45:10| Behandler: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Behandler: visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Initialiserer https proxy-kontekst

Vi justerer tillatelsene i / usr / lib64 / blekksprut / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Vi oppretter hurtigbufferkatalogen

# Bare i tilfelle ... [root @ linuxbox ~] # service squid stop
Viderekobler til / bin / systemctl stopp squid.service

[root @ linuxbox ~] # blekksprut -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Sett gjeldende katalog til / var / spool / blekksprut 2017/04/16 15:48:28 kid1 | Opprette manglende byttekataloger 2017/04/16 15:48:28 kid1 | / var / spool / blekksprut eksisterer 2017/04/16 15:48:28 kid1 | Lage kataloger i / var / spool / blekksprut / 00 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 01 2017/04/16 15:48:28 kid1 | Lage kataloger i / var / spool / blekksprut / 02 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 03 2017/04/16 15:48:28 kid1 | Lage kataloger i / var / spool / blekksprut / 04 2017/04/16 15:48:28 kid1 | Lage kataloger i / var / spool / blekksprut / 05 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 06 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 07 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 08 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 09 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 0B 2017/04/16 15:48:28 kid1 | Å lage kataloger i / var / spool / blekksprut / 0C 2017/04/16 15:48:29 kid1 | Lage kataloger i / var / spool / blekksprut / 0D 2017/04/16 15:48:29 kid1 | Å lage kataloger i / var / spool / blekksprut / 0E 2017/04/16 15:48:29 kid1 | Lage kataloger i / var / spool / blekksprut / 0F

På dette punktet, hvis det tar litt tid å returnere ledeteksten - som aldri ble returnert til meg - trykk Enter.

[root @ linuxbox ~] # service blekksprut start
[root @ linuxbox ~] # omstart av blekksprut
[root @ linuxbox ~] # tjeneste for blekksprut
Omdirigering til / bin / systemctl status squid.service ● squid.service - Proxy for blekksprutbuffing lastet: lastet (/usr/lib/systemd/system/squid.service; deaktivert; leverandør forhåndsinnstilling: deaktivert) Aktiv: aktiv (kjører) siden dom 2017-04-16 15:57:27 EDT; 1s siden Prosess: 2844 ExecStop = / usr / sbin / blekksprut -k shutdown -f $ SQUID_CONF (kode = avsluttet, status = 0 / SUCCESS) Prosess: 2873 ExecStart = / usr / sbin / blekksprut $ SQUID_OPTS -f $ SQUID_CONF (kode = avsluttet, status = 0 / SUCCESS) Prosess: 2868 ExecStartPre = / usr / libexec / blekksprut / cache_swap.sh (kode = avsluttet, status = 0 / SUCCESS) Hoved PID: 2876 (blekksprut) CGroup: /system.slice/squid .service └─2876 / usr / sbin / blekksprut -f /etc/squid/squid.conf 16. april 15:57:27 linuxbox systemd [1]: Starter blekksprutbufferproxy ... 16. apr 15:57:27 linuxbox systemd [1]: Startet proxy for blekksprutbuffering. 16. apr 15:57:27 linuxbox blekksprut [2876]: blekksprut foreldre: vil starte 1 barn 16. apr 15:57:27 linuxbox blekksprut [2876]: blekksprut foreldre: (blekksprut-1) prosess 2878 ... ed 16. april 15 : 57: 27 linuxbox blekksprut [2876]: blekksprut foreldre: (blekksprut-1) prosess 2878 ... 1 hint: Noen linjer var ellipsized, bruk -l for å vise i sin helhet

[root @ linuxbox ~] # cat / var / log / meldinger | grep blekksprut

Brannmurrettinger

Vi må også åpne i sonen «utvendig"portene 80 HTTP y 443 HTTPS slik at blekkspruten kan kommunisere med Internett.

[root @ linuxbox ~] # brannmur-cmd --zone = ekstern --add-port = 80 / tcp - permanent
suksess
[root @ linuxbox ~] # brannmur-cmd --zone = ekstern --add-port = 443 / tcp - permanent
suksess
[root @ linuxbox ~] # firewall-cmd --reload
suksess
[root @ linuxbox ~] # brannmur-cmd - informasjon-sone ekstern
eksternt (aktivt) mål: standard icmp-blokk-inversjon: ingen grensesnitt: ens34 kilder: tjenester: dns-porter: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoller: maskerade: ja fremadporter: kildeporter: icmp-blokker: parameterproblem omdirigerer ruteannonsering ruterutfordring kildeslukningsregler:

Det er ikke inaktiv å gå til den grafiske applikasjonen «Brannmurinnstillinger»Og sjekk at porter 443 tcp, 80 tcp, 53 tcp og 53 udp er åpne for sonen«utvendig«, Og at vi IKKE har publisert noen tjeneste for henne.

Merknad om basic_pam_auth hjelperprogrammet

Hvis vi konsulterer manualen til dette verktøyet gjennom mann basic_pam_auth Vi vil lese at forfatteren selv gir en sterk anbefaling om at programmet flyttes til en katalog der vanlige brukere ikke har tilstrekkelige tillatelser til å få tilgang til verktøyet.

På den annen side er det kjent at påloggingsinformasjonen med denne autorisasjonsordningen reiser i ren tekst, og det er ikke trygt for fiendtlige miljøer, les åpne nettverk.

jeff yestrumskas vie artikkelen «Slik gjør du det: Konfigurer en sikker webproxy ved hjelp av SSL-kryptering, Squid Caching Proxy og PAM-autentisering»Til spørsmålet om å øke sikkerheten med dette autentiseringsskjemaet slik at det kan brukes i potensielt fiendtlige åpne nettverk.

Vi installerer httpd

Som en måte å sjekke driften av blekksprut på - og for øvrig den til Dnsmasq - vil vi installere tjenesten httpd -Apache webserver- som ikke kreves utført. I filen i forhold til Dnsmasq / etc / banner_add_hosts Vi erklærer nettstedene vi ønsker å bli utestengt, og vi tildeler dem eksplisitt samme IP-adresse som de har Linuxbox. Dermed, hvis vi ber om tilgang til noen av disse nettstedene, kan hjemmesiden til httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl aktiver httpd
Opprettet symlink fra /etc/systemd/system/multi-user.target.wants/httpd.service til /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Apache HTTP-server lastet: lastet (/usr/lib/systemd/system/httpd.service; aktivert; forhåndsinnstilt leverandør: deaktivert) Aktiv: aktiv (kjører) siden søn 2017-04-16 16:41: 35 EDT; 5s siden Dokumenter: mann: httpd (8) mann: apachectl (8) Hoved-PID: 2275 (httpd) Status: "Behandler forespørsler ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16. april 16:41:35 linuxbox systemd [1]: Starter Apache HTTP-serveren ... 16. apr 16:41:35 linuxbox systemd [1]: Startet Apache HTTP-serveren.

SELinux og Apache

Apache har flere retningslinjer å konfigurere i SELinux-sammenheng.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> av httpd_builtin_scripting -> på httpd_can_check_spam -> av httpd_can_connect_ftp -> av httpd_can_connect_ldap -> av httpd_can_connect_mythtv -> av httpd_can_connect off_zabbix -> av httpdccan_c_work_c_work httpd_can_network_memcache -> av httpd_can_network_relay -> av httpd_can_sendmail -> av httpd_dbus_avahi -> av httpd_dbus_sssd -> av httpd_dontaudit_search_dirs -> av httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem off httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift_off_off_off_off httpd_ssi_exec -> av httpd_sys_script_anon_write -> av httpd_tmp_exec -> av httpd_tty_comm - > av httpd_unified -> av httpd_use_cifs -> av httpd_use_fusefs -> av httpd_use_gpg -> av httpd_use_nfs -> av httpd_use_openstack -> av httpd_use_sasl -> av httpd_verify_dns -> av

Vi konfigurerer bare følgende:

Send e-post via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

La Apache lese innholdet i hjemmekatalogene til lokale brukere

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Tillat å administrere hvilken som helst katalog som administreres via FTP eller FTPS
Apache eller la Apache fungere som en FTP-server som lytter etter forespørsler gjennom FTP-porten

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

For mer informasjon, vennligst les Linux-serverkonfigurasjon.

Vi sjekker godkjenningen

Det gjenstår bare å åpne en nettleser på en arbeidsstasjon og peke for eksempel på http://windowsupdate.com. Vi vil sjekke at forespørselen er riktig omdirigert til Apache-hjemmesiden i Linuxbox. Faktisk, ethvert nettstednavn deklarert i filen / etc / banner_add_hosts du blir omdirigert til samme side.

Bildene på slutten av artikkelen beviser det.

Brukeradministrasjon

Vi gjør det ved hjelp av det grafiske verktøyet «bruker~~POS=TRUNC»Som vi får tilgang til via menyen System -> Administrasjon -> Brukeradministrasjon. Hver gang vi legger til en ny bruker, opprettes mappen / hjem / bruker automatisk.

sikkerhetskopier

Linux-klienter

Du trenger bare den vanlige filleseren og indikerer at du vil koble til, for eksempel: ssh: // buzz @ linuxbox / home / buzz og etter at du har tastet inn passordet, vises katalogen hjem av brukeren buzz.

Windows-klienter

I Windows-klienter bruker vi verktøyet WinSCP. Når det er installert, bruker vi det på følgende måte:

Enkelt, ikke sant?

Oppsummering

Vi har sett at det er mulig å bruke PAM til å autentisere tjenester i et lite nettverk og i et kontrollert miljø helt isolert fra hendene på hackere. Det er hovedsakelig på grunn av det faktum at autentiseringsopplysninger reiser i ren tekst, og det er derfor ikke et autentiseringsskjema som skal brukes i åpne nettverk som flyplasser, Wi-Fi-nettverk, etc. Det er imidlertid en enkel autorisasjonsmekanisme, enkel å implementere og konfigurere.

Kilder konsultert

Linux-serverkonfigurasjon
Kommandohåndbøker - mannssider

PDF-versjon

Last ned PDF-versjonen her.

Fram til neste artikkel!